セルペンティ
終わりのない進化の象徴。1948年以来再生し続けてきた、優れた技巧を誇るジュエリーコレクションです。
サプライヤーおよび商業パートナーの個人情報処理に関するプライバシー通知
最終更新日:2025年10月6日
本プライバシー通知は、ブルガリがサプライヤーおよび商業パートナー(以下「サプライヤー」)およびその従業員/コンサルタントの個人情報(以下「個人情報」)を、契約関係の過程でどのように管理するかについて説明するものであり、個人情報の保護に関するEU規則679/2016(以下「GDPR」)および適用される情報保護法によって要求される情報を明記するものです。
個人情報とは:
「サプライヤー」が法人である場合、ブルガリが契約の締結および履行のために処理する自然人の一般的な個人情報(姓名、生年月日、出生地、身分証明書の種類および番号、メールアドレス、電話番号など)を含みます。
「サプライヤー」が自然人である場合、当該個人に関連する一般的な個人情報(姓名、生年月日、出生地、身分証明書の種類および番号、メールアドレス、電話番号など)を含みますが、これらに限りません。
この点に関して、以下の事項に留意してください:
1. 法的根拠、処理の目的および情報の提供
当該個人情報は、ブルガリによって以下の目的で処理されます:
a) 適用される法律および社内手続きの要件に従い、会計・財務管理、請求書発行(例:請求書の確認および入力)を含む、サプライヤーとブルガリの間の契約関係の締結および履行に関連する目的。
b) 必要な場合、ブルガリの権利を法的に確立、行使および/または擁護するため。
c) 違法行為の疑いに関する報告(「内部通報」)を、報告内容の妥当性を確認するために必要な調査を実施し、対応措置を講じる目的で管理するため。
d) マネーロンダリング防止規制、汚職防止法、国際制裁審査、サステナビリティおよび企業の社会的責任、労働安全衛生に関する法律を含みますがこれらに限らない、ブルガリが従うべき規制上の義務を遵守するため。
e) 人の安全および企業資産の保護を確保するための物理的なアクセス管理(映像監視を含む)。
上記(a)の目的では、GDPR第6条1項(b)に従い、情報主体が当事者である契約の履行が処理の法的根拠となります。
上記(b)に記載された目的のための処理の法的根拠は、GDPR第6条1項(f)に従い、情報管理者の正当な利益です。
上記(c)に記載された目的のための処理の法的根拠は、以下の通りです:
i) GDPR第6条1項 f)に従った、情報管理者の正当な利益。提起された報告を認識した情報管理者は、すべての企業資産を保護および維持することを目的としています;
ii) 法的要件がある場合、個人情報の処理は、情報管理者が従うべき法的義務を遵守する必要性に関連します(イタリア立法令2001年6月8日第231号第6条2bis項以降を参照)。
iii) 法的権利を確認、行使、擁護する必要が生じた場合。
関係者の個人情報を伝達する必要がある場合、GDPR第6条第1項a) に基づく情報主体の同意が、その合法的根拠となります。
上記(d)に記載された目的のための処理の法的根拠は、GDPR第6条1項(c)に従い、ブルガリが従うべき法的義務を遵守する必要性です。
上記(e)に記載された目的のための処理の法的根拠は、GDPR第6条1項(f)に従った情報管理者の正当な利益です。
個人情報の提供は、契約の締結および/または履行に必要であるため、提供されない場合、契約関係の締結および/またはそれに伴う義務の履行ができなくなります。
2. 個人情報の処理方法
個人情報の処理は、公正性、適法性、透明性の原則に基づき、情報の保存、管理、送信を目的とした自動化された手段を使用して実施される場合もあります。このような処理は、合理的な範囲で、かつ技術水準に即した適切な手段を用いて行われ、紛失、不正アクセス、違法使用、漏洩のリスクを防止する適切な手順を用いて、安全性と機密性を確保します。
個人情報は、契約関係のより適切な管理または法的要件を遵守するために、自動化された意思決定または監視ITシステム(人工知能を使用したシステムを含む)を使用して処理される場合があります。
3. 個人情報の伝達範囲、EU域外への転送、個人情報の公表
個人情報は、前述の処理を担当する責任を有するブルガリの各部門の従業員によって処理される場合があります。これらの従業員は、個人情報を処理する権限を明示的に付与され、適切な指示を受けています。個人情報は、GDPR第28条に従って、情報管理者に代わって情報処理者として指定された外部の第三者によって処理される場合があります。外部の第三者は、情報管理者に代わって、会計、税務、保険義務、債権・債務管理などの特定の業務を行います。
このような第三者の完全なリストは、 privacy@bulgari.com 宛てにお問い合わせいただくことで入手できます。
個人情報は、(i) ITおよびサイバーセキュリティサービス、(ii) 集中内部通報手段の使用など、特定の目的のために、ブルガリグループ各社、LVMH Hennessy Moët Louis Vuitton SEおよび世界各地の子会社によって処理される場合があります。このような共有は、LVMHが採用し、フランスデータ保護局(CNIL)が承認した拘束力のある企業規則(BCR)に従って行われます。この規則は、欧州経済地域(EEA)外に拠点を置くLVMHの子会社に情報が転送される場合でも、適切な水準の保護を提供します。
ブルガリは、個人情報が国外に転送される場合、その機密性を保護し、適切な契約や法律に従い、十分な保護が提供されることを保証します。
個人情報は、情報管理者として行動する第三者(例えば、監督・管理当局および団体、より一般的には情報を要求する権利を有する公的または民間の機関)に開示される場合があります。
4. 個人情報の保持期間
収集された個人情報は、契約期間中および契約終了後10年間(標準的な制限期間に相当)保持されます。
法的手続きの場合は、その期間中、控訴期限が経過するまで保持されます。
社内敷地へのアクセスに関する情報は、最長180日間保持されます。監視カメラシステムによって記録された映像は、特定の情報通知および社内方針で示された期間保持されます。
内部通報管理の目的で処理される個人情報は、報告プロセスの最終結果の通知日から5年間保持されます。
前述の保持期間が終了した後、個人情報は技術的な削除およびバックアップ手順に従って、破棄または匿名化されます。
5. 情報主体の権利
個人情報の処理およびその実行方法については、いつでも情報を請求することができます。また、個人情報の修正または削除、その利用の制限、その利用への抗議、個人情報を他の管理者に送る要請を行うこともできます。Bulgari S.p.A.およびその子会社は、適用される規則に定められた期限内に要求に応じる必要があります。また、誤った情報を修正し、不完全な情報を補完し、不正確になった個人情報を更新しなければなりません。さらに、要求があれば、個人情報を削除したり、その利用を制限または停止したり、技術的に可能であれば、他の管理者に送信する必要があります。
法律で規定された上記の権利の行使、あるいはさらなる情報の要求、および/または誤りや問題の報告を行う場合、当該データ主体はprivacy@bulgari.com にeメールを送り迅速な返答を求めるか、リンク からオンラインフォームに記入するか、Bulgari S.p.A.(Lungotevere Marzio 11, Rome)のデータ保護責任者(DPO)に依頼書を送ることができます。情報主体は、受けた返答に満足しない場合、 データ保護管轄当局宛に連絡できます。
上記第2項c) の個人情報の処理に関して、情報主体は現行法が規定するすべての権利を行使することができますが、こうした権利の行使は、内部通報者の身元の秘密に対して事実上の具体的な不利益がもたらされない場合に限ります。
6. 情報保護責任者(DPO)の問い合わせ詳細
情報保護責任者:Guido Sandonà。住所:Lungotevere Marzio 11。Tel:0668810211、メールアドレスprivacy@bulgari.com
7. 情報管理者のアイデンティティと詳細
個人情報の情報管理者は、サプライヤーが契約当事者であるブルガリの子会社であり、適切に任命された法定代理人を通じて行動し、その詳細は該当する契約書に明記されています。内部通報の管理を目的とした個人情報の処理に関しては、情報管理者はLVMHおよびブルガリグループ各社であり、GDPR第26条に準じて締結された共同管理者契約に基づき、共同管理者として行動します。管理者が指定するデータ処理業者の全リストは、privacy@bulgari.com へのeメールでご請求いただけます。
共同管理者は、その権限の下で行動する者が各共同管理者から指示を与えられた場合のみ会社の方針に従って個人情報にアクセスし、当該情報を処理することを約束します。
データ主体に該当する方は、共同情報処理の詳細、関与するブルガリグループ会社、および権利行使の目的に関して、第5項に記載されている連絡先を使用してブルガリへ連絡できます。
内部通報管理に関連する個人情報処理のデータ管理者は、LVMH Moët Hennessy Louis Vuitton SEおよびブルガリグループ各社です。
管理者が指定するデータ処理業者の全リストは、privacy@bulgari.com
へのeメールでご請求いただけます。
